Blackberry CylancePROTECT-anslutningsprogram för Microsoft Sentinel

  • Artikel

Med Blackberry CylancePROTECT-anslutningsappen kan du enkelt ansluta CylancePROTECT-loggarna till Microsoft Sentinel. Detta ger dig mer insikt i organisationens nätverk och förbättrar dina säkerhetsåtgärdsfunktioner.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller Syslog (CylancePROTECT)
Stöd för regler för datainsamling DcR för arbetsytetransformering
Stöds av Microsoft Corporation

Exempel på frågor

De 10 främsta händelsetyperna

CylancePROTECT​
         
| summarize count() by EventName
         
| top 10 by count_

Topp 10 utlösta principer

CylancePROTECT​
         
| where EventType == "Threat" 
         
| summarize count() by PolicyName 
         
| top 10 by count_

Förutsättningar

Om du vill integrera med Blackberry CylancePROTECT kontrollerar du att du har:

  • CylancePROTECT: måste konfigureras för att exportera loggar via Syslog.

Installationsanvisningar för leverantör

Kommentar

Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat och som distribueras som en del av lösningen. Om du vill visa funktionskoden i Log Analytics öppnar du bladet Log Analytics-/Microsoft Sentinel-loggar, klickar på Funktioner och söker efter aliaset CyclanePROTECT och läser in funktionskoden eller klickar här, på den andra raden i frågan anger du värdnamnen för cyclanePROTECT-enheterna och andra unika identifierare för logstreamen. Funktionen tar vanligtvis 10–15 minuter att aktivera efter installationen/uppdateringen av lösningen.

  1. Installera och registrera agenten för Linux

Normalt bör du installera agenten på en annan dator än den där loggarna genereras.

Syslog-loggar samlas endast in från Linux-agenter .

  1. Konfigurera loggarna som ska samlas in

Konfigurera de anläggningar som du vill samla in och deras allvarlighetsgrad.

  1. Välj länken nedan för att öppna konfigurationen av arbetsyteagenter och välj fliken Syslog.

  2. Välj Lägg till anläggning och välj i listrutan över anläggningar. Upprepa för alla faciliteter som du vill lägga till.

  3. Markera kryssrutorna för önskad allvarlighetsgrad för varje anläggning.

  4. Klicka på Använd.

  5. Konfigurera och ansluta CylancePROTECT

Följ de här anvisningarna för att konfigurera CylancePROTECT för att vidarebefordra syslog. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.